PoC for critical Progress Flowmon vulnerability released (CVE-2024-2389)
2024/04/24 HelpNetSecurity — Progress Software のネットワーク監視/分析/セキュリティ・ソリューション Flowmon に存在する、未認証により OS コマンド・インジェクションの脆弱性 CVE-2024-2389 の、詳細情報と PoC エクスプロイトが公開された。この致命的な脆弱性は、今月のはじめに Progress により公開され、すでにパッチが適用されている。4月19日 (金) に同社が更新したアドバイザリには、「現在のところ、この脆弱性が悪用されたという報告は受けていない。また、顧客への直接的な影響も認識していない」と記されている。
Progress Software によると、世界の 1,500以上の組織において、ネットワーク監視と異常検知のために Flowmon が使用されている。それらの顧客としては、Sega/TDK/Kia などが、同社のリストに名を連ねている。
CVE-2024-2389 について
この CVE-2024-2389 は、Flowmon のバージョン 11.x/12.x に影響を及ぼすコマンド・インジェクションの脆弱性である。
同社は、「認証されていないリモートの攻撃者が、Flowmon の Web インターフェースにアクセスし、慎重に細工された API コマンドを発行することで、認証を必要とせずに任意のシステム・コマンドを実行する可能性が生じる」と説明している。
この脆弱性は、Rhino Security Labs の侵入テスター David Yesland により発見され、Progress に報告された。
この脆弱性が悪用されてコマンドが実行されると、”flowmon” ユーザーによるものとして実行される。さらに、”Flowmon” ユーザーは、いくつかの “sudo” コマンドを実行できるため、そのコマンドにより root シェルが不正に取得される可能性もある。
Rhino Security Labs は PoC エクスプロイトを公開し、Metasploit にマージされるモジュールも近々に作成するとしている。
Firemon のユーザーに推奨されるのは、可能な限り早急に、パッチが適用されたバージョン v12.3.5/11.1.14 にアップグレードし、その後に、すべての Flowmon モジュールをアップグレードすることである。
Progress Flowmon の脆弱性 CVE-2024-2389 ですが、第一報は 2024/04/02 の「Progress Flowmon の脆弱性 CVE-2024-2389 が FIX:CVSS 値は 10.0」となっています。この脆弱性に対して PoC が提供されたことで、攻撃が加速する可能性が生じています。ご利用のチームは、パッチをお急ぎください。よろしければ、Progress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.